Threat Database Backdoors FakeMBAM Backdoor

FakeMBAM Backdoor

Die FakeMBAM-Backdoor ist eine RAS-Bedrohung, die durch die automatischen Updates eines Torrent-Clients (Download Studio) und drei Adblocker-Programme - NetShield Kit, My AdBlock und Net AdBlock - verbreitet wird. Download Studio ist ein kostenloser Torrent-Client, der vor allem in Russland und der Ukraine beliebt ist. Infolgedessen stammen die meisten von der FakeMBAM-Backdoor betroffenen Benutzer ebenfalls aus diesen beiden Ländern. Es gibt keine konkrete Erklärung dafür, warum der Torrent-Client und die Werbeblockprogramme plötzlich durch seine automatischen Updates eine Backdoor-Bedrohung auslösten. Infosec-Forscher fanden jedoch einige störende Aspekte wie Code-Ähnlichkeiten zwischen allen vier Programmen. Hinzu kommt, dass die Websites für die drei Werbeblocker anscheinend von derselben IP-Adresse aus gehostet werden.

Die FakeMBAM-Backdoor selbst ist in einem Installationsprogramm versteckt, das versucht, den Benutzer zu täuschen, dass es sich um ein legitimes Installationsprogramm handelt. Die Hacker haben große Anstrengungen unternommen, um so viel wie möglich von einem legitimen Programm zu erstellen. Es gibt jedoch zwei Betrüger. Das gefälschte Installationsprogramm erstellt eine modifizierte DLL-Datei mit dem Namen " Qt5WinExtras.dll", eine beschädigte DLL-Datei - " Qt5Help.dll " und ein neues " data.pak". Die 'Qt5WinExtras.dll' ahmt eine gleichnamige Datei aus einem legitimen Programm nach, in das jedoch eine Funktion eingefügt ist, die eine in ' Qt5Help.dll exportierte Funktion aufruft. '

Die Hauptbedrohungsfunktion wird von der Datei ' Qt5Help.dll ' ausgeführt. Es ist dafür verantwortlich, Persistenzmechanismen einzurichten, die Command-and-Control-Server enthalten, auf Anweisungen zu warten und persistente Nutzdaten bereitzustellen, die dann in verschlüsselter Form in der Datei ' data.pak ' gespeichert werden. Die meisten dieser von den Forschern entdeckten Nutzdaten stammten von Cryptocurrency Minern, aber die Hacker konnten die bereitgestellten Malware-Bedrohungen problemlos erweitern. Insbesondere, wenn die FakeMBAM-Backdoor mehrere bedrohliche Nutzlasten gleichzeitig verarbeiten kann. FakeMBAM kann jede Nutzlast abhängig von den empfangenen Befehlen auf sechs verschiedene Arten ausführen und gleichzeitig vor der Ausführung der Nutzlast eine bestimmte Setup-Aktion ausführen.

Im Trend

Am häufigsten gesehen

Wird geladen...